Slapdash Safeguards

にわか仕込みのセキュリティ

unit42の調査で判明した「CL-UNK-1068」の使用ツールセット関して思ったこと

by skybreaker 脅威情報

「CL-UNK-1068」の使用ツールセットを見て、何となく思ったことを書き起こしておこうと考えた。

これは、リアルなWebサーバ攻撃事例の覚え書き的なもの。

unit42.paloaltonetworks.com

Webshellを使用した侵入

今回注目した記事では、Webshellを管理するようなツールのGodzillaやWebシェルツール群AntSwordが挙がっている。

このことから、何らかの脆弱性や漏洩情報からWebサーバへの侵入を起点した攻撃とみられる。

Webシェルを用いた中国系アクターの攻撃では、Gozillaの使用が最も多いイメージ。
www.microsoft.com

同じ系統?の攻撃者が使うWebシェルとしては、China-Chopper, ASPXSpyなんてのもあるらしい。
asec.ahnlab.com

ローダーや権限昇格で足場を整える

今回の攻撃者はpython.exe, pythonw.exeを実行して、シェルコードローダーとなるDLLのサイドローディングを行った。

これによって、frpPrintSpoofer、攻撃者のカスタムスキャナーScanPortPlusを実行したらしい。

DLLでのサイドローディングにしろ何にしろpython.exe, pythonw.exeを使用するのは、最近のマルウェアの流行りな印象。

インフォスティーラーでもこの手法が多い。

今回の記事ではシェルコードローダーとなるDLLのサイドローディングが主な目的ということだが、Nukitaの話も出ているので難読化pythonコードも使っていたのではないかと。

中国系の攻撃ではリバースプロキシツールとしてfrpが目立つ気がする。

野良ハッカーぽい攻撃者は、Ligolo-ng, Chisel, ngrokっていう感じのよくあるツールを使用している。

ベテランのRaaSアフィリエイターは、正確には覚えていないけれど人気無いが優秀なOSSのリバースプロキシツールを使っている。人気無いし、古いしで大体はアンチウイルスに検知されていない。

PrintSpooferといえばお馴染みのSeImpersonatePrivilege使ってLOCAL/NETWORK SERVICEからSYSTEMになるツール。

Windowsバージョンや状況によってPotato系と使い分けるやつですな。

PotatoやSeImpersonatePrivilegeの話はときどき気になって調べるので、ここにまとめおきましょう。
itm4n.github.io

jlajara.gitlab.io

hideandsec.sh

medium.com

ちなみに、GodPotatoBadPotatoの作者はGodzillaの作者と同じ.

記事の最後の方に、Sliverを使っていたっていう話があったので、シェルコードローダーはSliverのインプラントも実行していたかもしれない。

重要情報収集

今回の攻撃者は、SuperDumpというカスタム情報収集ツールを使用していた。

.NETのツールということでSharpUpとかSeatbelt的な感じだと思う。

ただし、ノイズを減らすために収集する情報は必要最低限に絞っている感じがする。

LsaRecorderという、ログインパスワードを盗聴するツールが使用されていたらしい。

LsaApLogonUserEx2をフックしてやることで、コンソールログオン/RDP/runasコマンド等から平文パスワードを取得できる。

攻撃者はDumpItでメモリダンプして、Volatilityで解析することでメモリ解析をオフラインで行っていたと思われる。
www.iblue.team

github.com

Volatilityの使用コマンドは、windows.hashdump, windows.registry.lsadump.Lsadump, windows.registry.cachedump.Cachedumpということなので、バリバリ認証情報窃取用。
volatility3.readthedocs.io

ところで、DumpItって前は無料だった気がするがMagnetに買収されて有料になっちゃったのか?

SQL Server Management Studio Password Export ToolというSSMSに保存されたパスワードを抽出するツールも使用していた。

SMSSってあんまり真面目に使ったこと無いが、パスワード保存機能ってのもあるのか。

そりゃ、RDPの保存パスワードやスケジュールタスクとかの保存パスワードと並んで狙いたくなるか。

ちなみに、SQL Server Management Studio Password Export Toolの作者はDCOMPotato, EfsPotatoの作者らしい。

Potatoの世界は狭い。

世の中にはまだまだ知らない攻撃ツールが沢山あるなぁ

OSCPとかHTBとか色々やっているが、ペネトレーションテストの一般的なツールと攻撃者が使う実践的なツールって機能性・目的・使用感にかなり乖離があるっていうのは常々感じる。

個人的感覚値では、ペネトレーションテスト普段からやっている人よりも、フォレンジック調査を普段からやっている人たちの方が攻撃者の動きの模倣が上手いんじゃないか?